„Health Net Federal Services“ (HNFS) ir jos patronuojanti įmonė „Centene Corporation“ sutiko sumokėti 11 253 400 USD, kad būtų galima išspręsti įtarimus, kad HNFS melagingai sertifikuota laikytis kibernetinio saugumo reikalavimų pagal jos gynybos sveikatos agentūros (DHA) „Tricare“ sutartį.
JAV vyriausybė sudarė sutartis su HNFS teikti valdomas sveikatos priežiūros paramos paslaugas „Tricare“ Šiaurės regione, apimančioje 22 valstijas.
Sutarčiai reikalavo, kad būtų laikomasi kibernetinio saugumo standartų, ypač 48 CFR § 252.204-7012 ir 51 Saugumo kontrolė iš NIST specialiojo leidinio 800-53 (federalinių informacinių sistemų ir organizacijų saugumo ir privatumo kontrolė).
Remiantis JAV teisingumo departamento pranešimu, 2015–2018 m. HNFS tariamai neįvykdė reikiamų kibernetinio saugumo priemonių, administruodamas naudą sveikatai Amerikos karinės tarnybos nariams ir jų šeimoms.
Tuo pačiu metu DOJ teigia, kad HNFS klaidingai patvirtino jų ataskaitų atitiktį DHA, todėl atrodo, kad jie tinkamai apsaugotų žmonių duomenis, nors jie to nepadarė.
Tiksliau, HNFS nesugebėjo imtis šių priemonių:
- Nuskaitykite „N-Day“ pažeidžiamumą savo sistemose ir laiku pritaikykite pataisas.
- Apsvarstykite audito ataskaitų, kuriose pabrėžiama kibernetinio saugumo rizika, išvados ir imkitės veiksmų, kad jas pašalintumėte.
- Įdiekite pramonės standarto turto valdymą, prieigos kontrolę, ugniasienės apsaugą ir pataisų valdymą.
- Venkite pasenusios aparatūros ir programinės įrangos.
- Laikykitės stiprios sąskaitos slaptažodžio politikos.
Taikymo sutarties dokumente JAV valstija paaiškina, kad HNFS melagingai patvirtino atitiktį bent tris kartus: 2015 m. Lapkričio 17 d., 2016 m. Vasario 26 d. Ir 2017 m. Vasario 24 d.
HNFS ir Centene paneigia visus įtarimus ir teigia, kad jokių duomenų pažeidimų ar tarnybų pamainos praradimo neįvyko. Tačiau jie vis tiek sutiko sumokėti 11 253 400 USD, kad būtų galima išspręsti kaltinimus.
Teisiniame dokumente paaiškinta, kad atsiskaitymas neapsaugo HNF ir Centene nuo baudžiamosios atsakomybės, jei ateityje atsiras papildomų įrodymų, administracinių baudų ar civilinių ieškinių.
